00[3]

Il ransomware ViceSociety colpisce 2 volte in Italia in un giorno: sotto attacco Euronics e un’azienda chimica

venerdì 10 settembre 2021
Il ransomware ViceSociety colpisce 2 volte in Italia in un giorno: sotto attacco Euronics e un’azienda chimica

Ha colpito due volte in un solo giorno: prima vittima, Butali S.p.A che possiede la ben più nota catena di elettronica e elettrodomestici Euronics; subito dopo sotto attacco è finita anche 3V Sigma. Parliamo di ViceSociety, una nuova campagna ransomware. Nel frattempo i dati parlano chiaro: l’attenzione dei ransomware contro le aziende e gli enti italiani è tutt’altro che scemato. Anzi, sono stati portati ulteriori tentativi di attacco contro aziende italiane da parte del ransomware Lockbit: è stato ad esempio rilevato, sempre nella giornata di ieri, un tentativo di doppia estorsione ai danni dell’azienda chimica Tovo Gomma.

L’attacco contro Euronics è riuscito
Inutile dire che, tra i tanti, l’attacco subito da Euronics sta facendo più notizia rispetto ad altri. Intanto, una specifica: l’attacco è stato condotto contro la società Butali S.pA, che ha sede legale nei Paesi Bassi e che detiene parte della catena di elettronica di consumo.

L’attacco è confermato dalla presenza, sul sito di leak collegato al ransomware Vice Society, di una parte dei dati rubati.

I dati rubati sono molteplici, ma colpisce la presenza di liste di username e password in chiaro all’interno di semplici file .xls. Vi sono contenuti, probabilmente, gli accessi alle reti delle varie filiali. E’ presente perfino una coppia user e password di accesso amministrativo ad un’area riservata: qui è possibile vedere, calendari, prenotazioni, servizi offerti dai negozi.

Fonte: https://www.redhotcyber.com

Tra i dati rubati, che riguardano per la maggior parte negozi Euronics tra Toscana e Umbria, troviamo inventari, fatture, informazioni di budget, planning, offerte future, fatture, procedure interne ecc… ma anche i dati dei clienti non sono in salvo.

Da Redhotcyber, tra i primi a dare la notizia, fanno sapere anche del ritrovamento di un registro nel quale sono visibili, dal 2018 a oggi, le chiamate che le varie filiali hanno fatto ad una serie di clienti: nel file si trovano informazioni personali dei clienti come nome e cognome, indirizzo, numero di telefono ecc…

Fonte: https://www.redhotcyber.com

Ad ora non ci sono aggiornamenti e l’azienda non ha rilasciato alcuna dichiarazione pubblica.

Vice Society: qualche info tecnica
Comparso verso la metà del 2021 sui radar dei ricercatori, Vice Society è divenuto famoso per l’uso di exploit per l’insieme di vulnerabilità di Windows chiamate PrintNightmare. In dettaglio sono 3:

CVE-2021-1675,
CVE-2021-34527,
CVE-2021-36958
e affliggono lo spooler di stampa di Windows. Se correttamente sfruttate consentono ad un attaccante i privilegi di amministrazione, quindi la possibilità di eseguire codice arbitrario e di eseguire movimenti laterali nelle reti.

Patchate il 10 Agosto, queste falle sono ancora sfruttate non solo perchè sono ancora molti i sistemi vulnerabili, ma anche perchè la patch sembra non essere definitiva: alcuni ricercatori hanno infatti verificato che il blocco dell’esecuzione di codice da remoto può venire facilmente aggirato con una semplice modifica degli exploit usati.

Vice Society aggiunge ai file criptati l’estensione di criptazione v.society.

Fonte: https://twitter.com/demonslay335

00[1]

Fortinet VPN hacked: esposti password e username di circa 500.000 account. Esposte anche 40 aziende italiane

giovedì 9 settembre 2021
Fortinet VPN hacked: esposti password e username di circa 500.000 account. Esposte anche 40 aziende italiane

Uno sconosciuto attaccante ha pubblicato una lista di circa 500.000 username e password di account VPN Fortinet rubati la scorsa estate da dispositivi vulnerabili violati con exploit. L’attaccante ha dichiarato che la vulnerabilità sfruttata è stata in realtà patchata successivamente da Fortinet, ma “la quasi totalità delle credenziali VPN risulterebbero ancora valide” (dato tutto da verificare, anche se alcuni ricercatori confermano la validità di un intero campione usato come test), a ribadire quanto sia ancora una pratica poco radicata quella del cambio periodico delle password.

Perchè questo leak è così grave? La storia insegna che le credenziali VPN possono essere molto utili ad un attaccante per accedere alle reti e eseguire esfiltrazioni massive di dati, installare malware ma anche portare attacchi ransomware. Per fare un esempio a noi ben noto, è molto probabile che l’attacco ransomware che ha paralizzato i sistemi della regione Lazio sia iniziato proprio grazie all’uso, da parte degli attaccanti, delle credenziali rubate di un account VPN in uso ad un dipendente in smart working: le indagini stanno procedendo, infatti, in questa direzione.

Per approfondire > Non solo Lazio: anche ERG colpita da attacco ransomware. Si profila una tipologia di attacco supply chain

Le credenziali Fortinet sottratte sono state pubblicate su una serie di forum di hacking da un attaccante conosciuto come “Orange”, già operatore della campagna ransomware Babuk e amministratore di un nuovo forum di hacking chiamato RAMP. Orange sembra fuoriuscito, per divergenze gestionali, dal gruppo Babuk, ha aperto il nuovo forum di hacking quindi è divenuto portavoce della nuova operazione ransomware Groove.

La correlazione tra il forum RAMP e il nuovo ransomware Groove è confermata da un piccolo indizio: nella foto sotto è visibile il post pubblicato da Orange. Contiene un link che rimanda, appunto, alla lista di credenziali VPN Fortinet.

Quasi in contemporanea, sulla pagina di leak del ransomware Groove è apparsa la comunicazione del leak subito da Fortinet VPN

Il sito di leak di Groove. Fonte: bleepingcomputer.com
In entrambi i casi, il link rimanda ad un file ospitato su un server di storage Tor, già usato dagli attaccanti di Groove per ospitare i file rubati e ricattare le vittime. Secondo il ricercatore di sicurezza Vitali Kremez c’è da pensare che “il leak SSL VPN sia stato probabilmente realizzato per promuovere il nuovo forum di hacking RAMP, offrendo un omaggio agli aspiranti operatori ransomware”.

Non è dato sapere quante delle credenziali relative a 498,908 account siano ancora valide: la redazione di Bleeping Computer però, dopo verifica, ha confermato che tutti gli indirizzi IP testati sono server Fortinet VPN. Ulteriori analisi condotte da Advanced Intel mostrano che gli IP indicano dispositivi sparsi nel mondo, di questi quasi l’8% sono in Italia. Prime stime dicono che le aziende esposte al leak siano 22.500, sparse nel mondo, ma una 40ina sarebbero aziende italiane.

La vulnerabilità CVE-2018-13379, già patchata
Stando a quanto dichiarato da alcuni ricercatori, le credenziali potrebbero essere state sottratte tramite data scraping sfruttando una vulnerabilità nota, la CVE-2018-13379: questa vulnerabilità affliggeva il sistema operativo FortiOS installato su alcuni dispositivi Fortigate, ma è stata già corretta. Il problema era così grave da aver portato perfino l’FBI, insieme alla CISA (Cybersecurity and Infrastructure Security Agency), ad allertare le aziende su questo advanced persistent threat (APT) usato già in molte occasioni per attacchi contro server Fortinet FortiOS, puntando molto l’attenzione sul fatto che tale vulnerabilità avrebbe condotto a leak utilissimi per portare futuri attacchi.

La disposizione geografica dei server violati. Fonte: ADVIntel

01+28129[1]

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT nella settimana 21 – 27 Agosto

venerdì 3 settembre 2021
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT nella settimana 21 – 27 Agosto

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 21 – 27 Agosto
Nel corso della settimana, sono state individuate 18 campagne dannose in diffusione nello spazio italiano: 4 di queste sono state campagne generiche, 14 invece miravano ad obiettivi Italiani. 623 gli indicatori di compromissione individuati.

7 le famiglie malware individuate in diffusione, 12 le campagne malware totali. In dettaglio, i malware più diffusi sono stati:

Formbook, distribuito con 4 campagne diverse, due in italiano a tema “ordine”, due generiche. Le email contenevano allegati in formato LZH, XZ e EXE. Un solo caso riportava un link ad un file ISO;
Hancitor, diffuso con due campagne diverse: una è stata generica a tema “documenti” e una invece italiana a tema “pagamenti”. Entrambe presentavano lo stesso schema: le email contenevano il link per il download di un file .DOC. Come già visto, Hancitor è stato usato per distribuire CobaltStrike;
Lokibot invece è stato distribuito solo con campagne italiane, due in dettaglio: una a tema Banking e una a tema Pagamenti. Le email contenevano allegati di topo .ZIP e .XLSX;
AgentTesla è stato in distribuzione con una campagna italiana a tema Contratti. Le email veicolavano allegati in formato .RAR;
Remcos, Nanocore e Ursnif sono stati in distribuzione, rispettivamente, con una sola campagna. Il primo è stato distribuito con una campagna italiana a tema Ordine: il link contenuto nel corpo email rimandava al download di un file .ISO. Nanocore invece, assente da 3 mesi in Italia, è stato in distribuzione con email a tema Pagamenti e allegati in formato .GZ. Ursnif è stato in distribuzione con una sola campagna generica a tema pagamenti, anche in questo caso con allegati in formato .GZ.

Fonte: https://cert-agid.gov.it/

Hancitor in breve:
è stato osservato in distribuzione per la prima volta intorno alla fine di Luglio, in due campagne diverse a tema Pagamenti: le email presentavano un link che puntava al download di un file .DOC dotato di macro. E’ un malware downloader che però, come dimostrato dalle analisi tecniche, ha anche funzionalità di infostealer. Inizialmente è stato usato per distribuire un nuovo malware, FickerStealer, ma le campagne più recenti lo hanno visto come downloader di CobalStrike (che altro non è che un tool legale di penetration testing usato ormai abbondantemente anche dai cyber criminali).

Nanocore in breve…
NanoCore è stato individuato per la prima volta nel 2013, in vendita nei forum di hacking del dark web. E’ un trojan di accesso remoto (RAT), ma ha anche una varietà di funzionalità: funziona come keylogger e password stealer e invia ai propri operatori password e dati utili che riesce a esfiltrare dal sistema infetto. Può anche scaricare altri file dannosi, bloccare lo schermo, rubare file ecc..

Le campagne di phishing della settimana 21 – 27 Agosto
Le campagne di phishing analizzate hanno coinvolto 6 diversi brand, non appartenenti solo al mondo bancario e finanziario. Eccone la lista:

BPM e MPS, il cui brand è stato sfruttato per campagne di phishing ovviamente a tema bancario;
Apple è stata sfruttata per una campagna a tema “Acquisti” che, tramite un link puntato su un dominio .shop. mostrava all’utente un catalogo prodotti e un carrello, proprio come un vero shop online. Gli utenti che acquistano tramite lo shop fake possono pagare solo con bonifico diretto ad un iban italiano intestato a Istituto bancario XFinancial Services.;
Amazon è stata sfruttata per una campagna a tema “Premi”. Le email contengono un link a una finta lotteria nella quale è possibile vincere, dichiara il corpo email, un TV Samsung. L’utente è indotto a compilare coi dati personali un form per la partecipazione alla lotteria, quindi viene richiesto il pagamento tramite carta;
Sky invece ha visto il brand sfruttato per una campagna a tema “Aggiornamenti” collegata a landing page ospitate su domini registrati appositamente. Tutte le landing page sono approntate per sembrare pagine per aggiornare l’account. La campagna mira al furto delle credenziali di accesso al servizio;
Outlook chiude l’elenco dei brand: sfruttato con una campagna italiana a tema “Aggiornamenti” , cercava di indurre gli utenti a inserire le credenziali di posta in pagine di phishing che emulavano le login page di Outlool Web Access.
I temi principali della settimana 21 – 27 Agosto
I temi sfruttati per le campagne di attacco sono stati una decina circa, ma tre sono stati i più importanti: il primo, ovviamente, il tema Banking, sfruttato per il phishing contro il settore bancario. Il tema Pagamenti invece è stato usato principalmente per veicolare malware, il tema “Ordine” è stato usato per veicolare Formbook e Remcos.

Fonte: https://cert-agid.gov.it

00[1]

Il ransomware Ragnarok va in pensione: sospese le operazioni e rilasciata la master key

lunedì 30 agosto 2021
Il ransomware Ragnarok va in pensione: sospese le operazioni e rilasciata la master key

Come accade ogni tanto, il gruppo di cyber criminali responsabili delle operazioni del ransomware Ragnarok ha annunciato la sospensione di tutte le attività e rilasciato la master key tramite il quale divengono risolvibili tutte le infezioni dovute a questo malware.

Contrariamente a come succede di solito, non c’è una dichiarazione “ufficiale” del gruppo riguardo alla sospensione delle attività: le uniche tracce sono sul sito di leak, quello usato dagli estorsori per rendere pubblici i dati rubati delle vittime che si sono rifiutate di collaborare. Il sito di leak è stato svuotato di tutte le immagini e i contenuti.

Il sito di leak, per come si presenta attualmente

Resta solo un brevissimo testo che contiene il link ad un archivio scaricabile entro il quale si trovano la master key e i file binari necessari per usarla.

Il contenuto dell’archivio. Fonte: Catalin Cimpanu

Al primo colpo d’occhio, quindi, non sembra che l’operazione di sospensione delle attività sia stata programmata e che, anzi, sia stata eseguita in fretta e furia: hanno semplicemente cancellato tutto. Un ulteriore dettaglio consolida il sospetto della fuga precipitosa: il sito di leak di Ragnarock conteneva alcune news, pubblicate tra il 7 Luglio e il 16 Agosto, nelle quali gli attaccanti annunciavano una serie di nuove vittime, minacciando la pubblicazione dei dati rubati. Tra queste, aziende francesi, estoni, turche, cingalesi, statunitensi, spagnole ma anche italiane, tutte operanti in settori diversi, dai servizi legali alla manifattura. Insomma, fino al 16 Agosto gli attaccanti erano attivi e avevano fatto nuove vittime.

Al di là di come sono andate le cose, la master key si è dimostrata corretta: molteplici ricercatori (primo tra tutti Michael Gillespie) hanno eseguito vari test confermando la possibilità di allestire con la master key un decryptor capace di riportare in chiaro i file senza danneggiarli.

Ricordiamo che le estensioni di criptazione del ransomware Ragnarock sono:

.ragnarok_cry;
.ragnarok;
.rgnk;
.odin.
Ragnarock in breve
Ragnarock è stato un ransomware attivo dalla fine del 2019 in poi. Specializzato in attacchi contro le aziende, rientra nella categoria dei ransomware specializzati nella “doppia estorsione”: un primo riscatto viene richiesto per riportare in chiaro i file, un secondo per non rendere pubblici i dati rubati dagli attaccanti prima di procedere alla criptazione dei sistemi della vittima.

Storicamente, Ragnarock ha preso di mira i gateway Citrix ADC, disponendo infatti di un exploit kit capace di sfruttarne la vulnerabilità CVE-2019-19781.

Per approfondire >

Il ransomware Ragnarock colpisce in Italia: qualche info tecnica
Il ransomware Ragnarock colpisce ancora in Italia: sotto ricatto il famoso marchio di moda milanese Boggi Milano
Altri “pensionati” eccellenti di quest’anno
I ransomware che, quest’anno, hanno sospeso l’attività e reso pubbliche o la master key o le chiavi di decriptazione delle singole vittime sono:

ransomware Ziggy, che ha sospeso le attività in Febbraio. Sono state rese pubbliche le chiavi di decriptazione di 922 diverse vittime;
ransomware Avaddon, che ha sospeso le attività a Giugno. Anche in questo caso sono state pubblicate le chiavi di decriptazione di molteplici vittime;
ransomware SynAck che non ha propriamente sospeso le attività, ma sta in una fase di passaggio ad una nuova campagna che sfrutta un nuovo ransomware, che si chiamerà El_Cometa. I suoi gestori hanno reso pubblica la master key del ransomware SynAck, mentre stanno allestendo la rete di affiliati per El_Cometa.

00[1]

Fortinet VPN hacked: esposti password e username di circa 500.000 account. Esposte anche 40 aziende italiane

giovedì 9 settembre 2021
Fortinet VPN hacked: esposti password e username di circa 500.000 account. Esposte anche 40 aziende italiane

Uno sconosciuto attaccante ha pubblicato una lista di circa 500.000 username e password di account VPN Fortinet rubati la scorsa estate da dispositivi vulnerabili violati con exploit. L’attaccante ha dichiarato che la vulnerabilità sfruttata è stata in realtà patchata successivamente da Fortinet, ma “la quasi totalità delle credenziali VPN risulterebbero ancora valide” (dato tutto da verificare, anche se alcuni ricercatori confermano la validità di un intero campione usato come test), a ribadire quanto sia ancora una pratica poco radicata quella del cambio periodico delle password.

Perchè questo leak è così grave? La storia insegna che le credenziali VPN possono essere molto utili ad un attaccante per accedere alle reti e eseguire esfiltrazioni massive di dati, installare malware ma anche portare attacchi ransomware. Per fare un esempio a noi ben noto, è molto probabile che l’attacco ransomware che ha paralizzato i sistemi della regione Lazio sia iniziato proprio grazie all’uso, da parte degli attaccanti, delle credenziali rubate di un account VPN in uso ad un dipendente in smart working: le indagini stanno procedendo, infatti, in questa direzione.

Per approfondire > Non solo Lazio: anche ERG colpita da attacco ransomware. Si profila una tipologia di attacco supply chain

Le credenziali Fortinet sottratte sono state pubblicate su una serie di forum di hacking da un attaccante conosciuto come “Orange”, già operatore della campagna ransomware Babuk e amministratore di un nuovo forum di hacking chiamato RAMP. Orange sembra fuoriuscito, per divergenze gestionali, dal gruppo Babuk, ha aperto il nuovo forum di hacking quindi è divenuto portavoce della nuova operazione ransomware Groove.

La correlazione tra il forum RAMP e il nuovo ransomware Groove è confermata da un piccolo indizio: nella foto sotto è visibile il post pubblicato da Orange. Contiene un link che rimanda, appunto, alla lista di credenziali VPN Fortinet.

Quasi in contemporanea, sulla pagina di leak del ransomware Groove è apparsa la comunicazione del leak subito da Fortinet VPN

Il sito di leak di Groove. Fonte: bleepingcomputer.com
In entrambi i casi, il link rimanda ad un file ospitato su un server di storage Tor, già usato dagli attaccanti di Groove per ospitare i file rubati e ricattare le vittime. Secondo il ricercatore di sicurezza Vitali Kremez c’è da pensare che “il leak SSL VPN sia stato probabilmente realizzato per promuovere il nuovo forum di hacking RAMP, offrendo un omaggio agli aspiranti operatori ransomware”.

Non è dato sapere quante delle credenziali relative a 498,908 account siano ancora valide: la redazione di Bleeping Computer però, dopo verifica, ha confermato che tutti gli indirizzi IP testati sono server Fortinet VPN. Ulteriori analisi condotte da Advanced Intel mostrano che gli IP indicano dispositivi sparsi nel mondo, di questi quasi l’8% sono in Italia. Prime stime dicono che le aziende esposte al leak siano 22.500, sparse nel mondo, ma una 40ina sarebbero aziende italiane.

La vulnerabilità CVE-2018-13379, già patchata
Stando a quanto dichiarato da alcuni ricercatori, le credenziali potrebbero essere state sottratte tramite data scraping sfruttando una vulnerabilità nota, la CVE-2018-13379: questa vulnerabilità affliggeva il sistema operativo FortiOS installato su alcuni dispositivi Fortigate, ma è stata già corretta. Il problema era così grave da aver portato perfino l’FBI, insieme alla CISA (Cybersecurity and Infrastructure Security Agency), ad allertare le aziende su questo advanced persistent threat (APT) usato già in molte occasioni per attacchi contro server Fortinet FortiOS, puntando molto l’attenzione sul fatto che tale vulnerabilità avrebbe condotto a leak utilissimi per portare futuri attacchi.

La disposizione geografica dei server violati. Fonte: ADVIntel

00[1]

Attacco ransomware contro la Regione Lazio: un primo aggiornamento su questa intricata vicenda

mercoledì 4 agosto 2021
Attacco ransomware contro la Regione Lazio: un primo aggiornamento su questa intricata vicenda

Col trascorrere delle ore emergono nuove informazioni e dettagli rispetto al gravissimo attacco ransomware subito dal data center dei sistemi informatici della Regione Lazio.

La situazione è ancora ben lungi da tornare alla normalità e già ieri si parlava della necessità di oltre 15 giorni per ripristinare correttamente i sistemi: d’altronde, l’unico backup dei sistemi informatici regionali era online ed ha anche questo subito la criptazione, così non può essere utilizzato per ripristinare la rete e i servizi. Inoltre, ogni tentativo di riportare online la rete termina con la riattivazione del ransomware. Zingaretti ha annunciato ieri che stanno procedendo al trasferimento dei dati necessari per i servizi sanitari essenziali verso un sistema in cloud esterno: in pratica stanno provando ad allestire un sistema informatico alternativo a quello in paralisi per l’attacco. D’altronde sono bloccati servizi sanitari di grande importanza: non solo è in blocco l’intero sistema di gestione della campagna vaccinale, ma non è neppure possibile prenotare online visite specialistiche, effettuare Pap test e mammografie ecc.. Bloccato anche il sistema di gestione del Green Pass, la possibilità di pagare bolli e di ottenere autorizzazioni sia sanitarie che edilizie.

Galeotta fu la VPN…
Le verifiche della Polizia Postale hanno portato ad individuare almeno il punto di accesso, ovvero una falla nella VPN utilizzata dai dipendenti della Regione per accedere da remoto alla rete. In dettaglio, i dati hanno portato a concentrare l’attenzione sul computer in uso ad un impiegato della Regione residente a Frosinone: l’accesso degli attaccanti alla rete è avvenuto proprio sfruttando le sue credenziali rubate. L’escalation verticale di privilegi è stato poi ottenuto grazie all’uso del famigerato trojan Emotet: a quel punto, l’accesso rubato al dipendente ha consentito tutti i privilegi necessari per eseguire operazioni più profonde nella rete, come, appunto, la distribuzione del ransomware.

Nulla di nuovo, sono migliaia i casi di attacco ransomware nel mondo in cui il punto di accesso alla rete è stato ottenuto tramite credenziali deboli o una falla nella VPN: VPN che si sono diffuse celermente e in modo caotico negli ultimi due anni, come unico sistema per garantire ai lavoratori di poter svolgere da casa mansioni che la pandemia Covid impediva di svolgere in ufficio. L’assenza dell’autenticazione a più fattori ha semplicemente spianato la strada agli attaccanti che, disponendo di username e password, non hanno neppure dovuto fare la fatica di intercettare l’OPT.

Il mistero della richiesta di riscatto
Fino a ieri Zingaretti ha continuato a definire l’attacco subito dalla regione “potente e senza precedenti” (ed è falso, come ben sanno centinaia di migliaia di aziende nel mondo), ma ha anche ribadito che non è stata formalizzata alcuna richiesta di riscatto.

L’opinione > Attacco ransomware alla regione Lazio: buongiorno Italia!

Come ha ricostruito grazie ad anonime fonti interne la redazione di Bleeping Computer, la richiesta di riscatto esiste eccome ma non è stata quantificata in denaro: la nota contiene le informazioni per contattare gli attaccanti, ma non riporta alcuna specifica richiesta in criptovalute. L’ammontare del riscatto richiesto non è quindi conosciuto ad ora, perché stando a quanto affermato dai portavoce della Regione, non ci sono contatti né trattative in corso con gli attaccanti.

La nota di riscatto “recapitata” alla Regione Lazio. Fonte: bleepingcomputer.com

Da Bleeping Computer fanno anche sapere di aver messo le mani su uno screenshot della pagina di negoziazione degli attaccanti, dove si afferma chiaramente che la Regione dovrà pagare un riscatto per poter tornare in possesso dei propri file e sistemi.

Ma di che ransomware parliamo?
C’è ancora disaccordo su quale sia la famiglia di ransomware che ha colpito la Regione Lazio: la nota di riscatto sopra mostrata non dà indicazioni sul tipo di ransomware, ma il link .onion che vi è riportato è collegato alle operazioni di RansomEXX. Anche lo screenshot della pagina di negoziazione sembra rimandare a RansomEXX.

Questo ransomware è in circolazione dal 2018, originariamente col nome di Defray. Nel Giugno 2020 l’intera operazione ha subito un cambio nome in RansomEXX e si è specializzata in attacchi mirati contro le grandi aziende. Il loro modus operandi è chiaro: cercano un punto di accesso alla rete usando vulnerabilità della rete o credenziali rubate. Una volta ottenuto l’accesso alla rete, gli attaccanti diffondono la propria presenza più silenziosamente possibile, quindi rubano i file non criptati per organizzare la doppia estorsione (un riscatto per il decryptor, un riscatto per non vedere pubblicati e venduti online i dati rubati).

Ottenuto poi l’accesso al domain controller Windows distribuiscono il ransomware nella rete ed inizia così la criptazione di tutti i dispositivi e macchine ad essa collegati. Vittime d’eccellenza di questo ransomware sono già stati Konica Minolta, la rete del governo del Brasile, il Dipartimento dei trasporti del Texas, IPG Photonics ecc.. ma si è anche appena scoperto grazie alla polizia Postale che qualche mese fa gli stessi attaccanti hanno avuto accesso al sito del Consiglio nazionale del notariato, rubato 2 GB di dati che sono ad ora in vendita nel dark web.

Se questo è effettivamente il sample ransomware che ha colpito la Regione Lazio, il riscatto potrebbe ammontare dai 100.000 euro fino a 5 milioni di Euro: in questa fascia si collocano infatti le richieste in criptovalute che i gestori di RansomEXX hanno preteso in precedenti attacchi.

C’è però in ballo anche una seconda possibilità, ad ora supportata da pochi dettagli e dati: il ricercatore di sicurezza italiano JAMESWT ha identificato invece la famiglia ransomware in quella di LockBit, in dettaglio nella versione 2.0.

Per approfondire > Il ransomware Lockbit si evolve: è il primo ad aver automatizzato la criptazione dei domini Windows sfruttando le policy di gruppo

In entrambi i casi si parla, comunque, di ransomware specializzati nel furto dei dati PRIMA dell’avvio della criptazione degli stessi: continuare a ripetere che i dati personali contenuti nel data center non sono stati violati, come purtroppo stanno facendo i portavoce della Regione Lazio, non solo è precoce ma sempre meno attendibile. Le 72 ore sono trascorse e, stando alle previsioni del GDPR, dovrebbero arrivare le comunicazioni agli interessati: eventuali ritardi in queste comunicazioni saranno leciti solo se giustificati propriamente.

AGGIORNAMENTO DEL 06/08/2021
“Si è conclusa la verifica su un sistema di ultimissima generazione dove era stato effettuato il backup, protetto da hardware acquistato grazie agli ingenti investimenti sostenuti dalla Regione Lazio e da Laziocrea in questi anni per la sicurezza informatica. Al termine di tutte le verifiche tecniche possiamo annunciare che gli operatori sono riusciti ad accedere ai dati del backup” ha dichiarato nella tarda serata di ieri il presidente della Regione Lazio, Nicola Zingaretti.

00[1]

Attacco ransomware contro la Regione Lazio: bloccati i servizi collegati alla Sanità (e non solo)

lunedì 2 agosto 2021
Attacco ransomware contro la Regione Lazio: bloccati i servizi collegati alla Sanità (e non solo)

Dalla nottata di ieri i sistemi informatici della Regione Lazio sono bloccati: l’attacco va avanti da oltre 40 ore e già ieri la Regione ne dava comunicazione tramite le proprie pagine Twitter e Facebook. Sono irraggiungibili ad ora il sito web della Regione, ma anche la piattaforma online per la prenotazione sia dei vaccini che dei tamponi molecolari (il portale Salute Lazio). In generale sono irraggiungibili tutti i servizi online connessi alla sanità regionale, Green Pass compreso, ma anche i servizi correlati al sistema degli appalti pubblici.

I siti web ad ora offline:

https://prenotavaccinocovid.regione.lazio.it/welcome
http://www.consiglio.regione.lazio.it/
http://www.regione.lazio.it
https://www.salutelazio.it/
https://www.salutelazio.it/campagna-di-vaccinazione-anti-covid-19

Le dichiarazioni ufficiali hanno aggiunto caos al caos: si è parlato di un “potente (?) attacco informatico”, di sistemi in tilt senza però dare indicazioni chiare sulla tipologia e sui tempi di risoluzione. I dubbi sono stati spazzati via quando si è diffusa la notizia che una richiesta di riscatto in Bitcoin è arrivata nella mattinata di oggi: non è stato ad ora divulgato l’ammontare del riscatto richiesto.
Secondo l’AGI, il ransomware avrebbe colpito i sistemi sia in aree di produzione che in quelle dove sono contenuti il backup dei dati: se così è, siamo di fronte al peggior scenario possibile, quello in cui non è possibile ripristinare le reti grazie al backup. Alla Regione Lazio non resterebbe che pagare il riscatto o riuscire, ma è ormai sempre più difficile, a produrre un tool di decriptazione efficace. Altre fonti invece affermano che il backup è rimasto intatto ed è stato ripristinato, ma ad ogni tentativo di riportare online il sistema, il ransomware pare riattivarsi.

Sempre secondo AGI, gli attaccanti avrebbero avuto accesso al computer di uno degli amministratori di sistema di LazioCrea: con credenziali avanzate che hanno garantito loro i privilegi di amministrazione, gli attaccanti hanno potuto lavorare a lungo nella rete senza limitazioni “per settimane”.

Ovviamente non mancano le polemiche, a maggior ragione per il fatto che la Regione Lazio rientra nell’ambito della Direttiva europea NIS e nel perimetro nazionale di cyber security: come tale, quindi, la Regione sottostà al preciso obbligo di implementare un piano di risposta ai cyber attacchi che sia così dettagliato da elencare e descrivere le procedure da seguire per mettere in campo una risposta veloce ed efficace a tutte le tipologie di attacco informatico che potrebbero mettere a repentaglio la riservatezza e l’integrità dei dati personali.

Per approfondire > LA DIRETTIVA NIS – Network and Information Security
Per approfondire > A Giugno debutterà (in fase di test) il perimetro di cyber sicurezza nazionale italiano

Dalla Regione fanno sapere di aver già attivato tutte le autorità competenti e che, nel corso delle prossime ore, sarà aperto un fascicolo presso la Procura sull’incidente. Nuovamente però l’amministrazione regionale si macchia di “eccesso di difesa” dichiarando già pubblicamente, per bocca dell’assessore alla Sanità Alessio D’Amato, che “nessun dato è stato trafugato”. Una affermazione difficilmente verificabile, soprattutto a pochissime ore dall’inizio e dell’attacco e del tutto inverosimile se, davvero, gli attaccanti sono dentro la rete regionale da settimane: i sistemi colpiti contengono dati personali di 7,4 milioni di persone. In generale infatti, come già più volte ribadito, un attacco ransomware va anche subito considerato come un data breach, soprattutto dopo l’introduzione della fase di furto dati prima dell’avvio della criptazione dei sistemi: un paradigma , questo, che ha fatto scuola e che ormai è parte integrante del mondo ransomware.

00[1]

Il ransomware Lockbit si evolve: è il primo ad aver automatizzato la criptazione dei domini Windows sfruttando le policy di gruppo

mercoledì 28 luglio 2021
Il ransomware Lockbit si evolve: è il primo ad aver automatizzato la criptazione dei domini Windows sfruttando le policy di gruppo

Del ransomware Lockbit abbiamo già parlato qualche tempo fa perchè è stato ripetutamente in diffusione in Italia. In diffusione già dal Settembre 2019, ha subito varie evoluzioni ed è attualmente approdato alla forma organizzativa del ransomware as a service. Negli anni è stato piuttosto attivo, mentre i suoi gestori sono molto attenti sia alla promozione del servizio sia a fornire supporto.

Qualche mese fa però c’è stato un cambiamento: alcuni dei principali forum di hacking, solitamente utilizzati dai gruppi ransomware per promuoversi e per cercare nuovi affiliati, hanno iniziato a bannare e rimuovere gli annunci collegati ai RaaS. Sulla scia di quanto deciso dai gestori di Exploit (uno dei principali forum di hacking), la scelta è stata giustificata dal fatto che i gruppi ransomware, attaccando indiscriminatamente in tutto il mondo, “attraggono troppa attenzione”. Dopo l’attacco ransomware al Colonial Pipeline, ma anche ospedali, scuole ed enti pubblici / governativi è difficile dare loro torto. Lockbit ha subito questo trattamento assieme a “colleghi” di altrettanta fama come REvil, Darkside, Netwalker ecc…

Dal momento del ban, il gruppo di Lockbit ha iniziato a promuovere il nuovo servizio RaaS LockBit 2.0 sfruttando direttamente il proprio sito di leak.

Il sito di leak di LockBit 2.0

Quali sono le novità?

LockBit 2.0 prevede una lunga serie di novità e numerose funzionalità avanzate. Molte di queste sono già state presenti in altre operazioni ransomware del passato, ma una di queste è molto preoccupante: gli sviluppatori hanno infatti affermato di aver automatizzato la distribuzione del ransomware sfruttando i domini Windows senza necessità di script.
Solitamente, quando gli attaccanti riescono ad accedere una rete e a prendere il controllo del controller di dominio, utilizzano un software di terze parti per distribuire script capaci di disabilitare le soluzioni antivirus: così viene disabilitato Windows Defender e quindi viene eseguito il ransomware sulle macchine in rete. La versione di LockBit analizzata recentemente da Vitali Kremez ha automatizzato completamente questo processo, così il ransomware può “auto-diffondersi” attraverso un dominio quando eseguito sul controller.

Una volta eseguito, LockBit crea nuove policy di gruppo sul controller di dominio: policy che sono poi distribuite e imposte a tutti i dispositivi nella rete. Queste non fanno altro che disabilitare la protezione in tempo reale di Windows Defender, gli alert, l’invio dei campioni a Microsoft e tutte le azioni di default quando sono individuati file dannosi.

Fonte: bleepingcomputer.com
Sono create anche ulteriori policy, compresa una per la creazione di attività pianificate sui dispositivi Windows per lanciare l’eseguibile del ransomware.

L’altra novità è l’uso di API di Windows Active Directory per eseguire query LDAP: questa tecnica è utilizzata per produrre una lista dei computer. Usando questa lista, l’eseguibile del ransomware verrà copiato nel desktop di ogni macchina, quindi l’attività pianificata configurata nella policy di gruppo si occuperà di lanciare il ransomware usando una precisa tecnica di bypass dell’User Account Control.

Se alcune tecniche e funzionalità di LockBit non sono affatto nuove, va sottolineato come questo sia il primo ransomware che è riuscito ad automatizzare la distribuzione del malware tramite policy di gruppo, garantendo la possibilità di disabilitare Windows Defender ed eseguire il ransomware sull’intera rete con un singolo comando.

Stampanti impazzite
Il nuovo LockBit ha anche una funzionalità già vista col ransomware Egregor: una volta che il ransomware ha finito di criptare i dispositivi in rete, inizierà a stampare a ripetizione la nota di riscatto su ogni stampante connessa in rete. Nel caso in cui una vittima non si sia ancora accorta dell’attacco subito…

00[1]

Quanto costa un data breach? Lo studio IBM calcola 3 milioni di euro di danni in Italia nel 2020

giovedì 29 luglio 2021
Quanto costa un data breach? Lo studio IBM calcola 3 milioni di euro di danni in Italia nel 2020

Lo studio “Cost of a Data Breach Report”, condotto dal Ponemon Institute e da IBM Security, parla chiaro: in media, i data breach costano alle aziende 4,24 milioni di dollari a incidente. L’aumento dei costi è legato all’impennata registrata nel numero di violazioni dei dati: il contesto pandemico ha fatto da volano, spinto dal ricorso massivo (e caotico) al lavoro da remoto nonché al rapido passaggio delle aziende al cloud per garantire la business continuity.

Cost of a Data Breach in Italia
Nel 2020 in Italia, si legge nel report, il costo complessivo di una violazione dei dati è salita non poco, arrivando a 3,03 milioni di Euro: ogni dato rubato è valutabile, in media, 135 euro. Basti pensare che tale valore è praticamente raddoppiato nell’ultimo decennio, a ribadire quanto i dati siano oggi un bene preziosissimo e quindi a rischio.

Per quanto i data breach siano ormai un problema che riguarda tutti i settori economici e produttivi, i settori più colpiti sono stati ovviamente quello dei servizi finanziari, il settore energetico e quello farmaceutico. In tali settori ogni informazione rubata costa rispettivamente 171 Euro per il settore finanziario, 165 per quello energetico e 164 per quello farmaceutico. I dati esplicitano anche un altro grave problema: la pandemia ha reso più palesi ed evidenti le difficoltà di quelle aziende poco digitalizzate o in estremo ritardo sulla digitalizzazione. Queste sono le più esposte ad attacchi informatici e ne subiscono maggiormente i danni: se le aziende ad avanzata digitalizzazione subiscono un costo medio per data breach di 2,72 milioni di euro, quelle poco digitalizzate e in ritardo invece pagano in media 3.75 milioni di euro a data breach.

Colpisce l’elevatissimo numero di giorni ad ora mediamente necessari per individuare e contenere un attacco informatico: siamo ancora sui 250 giorni circa, anche se si registra una lieve contrazione delle tempistiche rispetto agli ultimi anni.

Cost of a Data Breach nel mondo

A livello mondiale le dinamiche sono state simili: corsa al lavoro da remoto e al cloud, con il 60% delle imprese analizzate nello studio che ha scelto di passare al cloud. Al passaggio organizzativo a queste nuove forme di organizzazione aziendale non è però corrisposto un conseguente processo di adeguamento in termini di cyber security: il passaggio allo smart working è stato repentino e caotico ed ha causato data breach più costosi del valore medio. In dettaglio, afferma IBM, i data breach avvenuti indicando il lavoro da remoto come causa costano 1 milione di dollari in più della media delle violazioni avvenute tramite altri vettori di attacco, segnando un costo di 4,96 milioni di dollari contro i 3.89 milioni.
Le credenziali compromesse sono un gravissimo problema
Altro dato importante è che la causa principale dei data breach occorsi a livello mondiale è stato l’uso di credenziali rubate. Tra le informazioni invece più esposte troviamo i dati personali degli utenti come nome, email e password varie: tali dati sono presenti quasi nel 50% delle violazioni analizzate dal report. Gli effetti di tali breach si sentiranno nei prossimi mesi e anni, quando questi dati saranno usati per portare ulteriori e nuovi attacchi. Il problema delle credenziali compromesse è ormai dilagante e reso ancora più grave da una evidenza: oltre l’82% delle persone intervistate nel report ammette di riutilizzare le password per più account.

I breach che ricomprendono le informazioni personali sono quelli che costano di più ( 180 dollari a dato contro il 161 dollari di costo medio per il furto di altri tipi di dati), sono i più lunghi da rilevare e contenere e l’uso di credenziali compromesse resta il punto di ingresso più utilizzato dai cyber attaccanti.

Ci sono anche buone notizie: AI, criptazione, Zero-trust
I costi delle violazioni sono ormai a livello record, ma il report ha registrato anche alcuni dati positivi rispetto all’adozione di alcune tecnologie e approcci innovativi come l’Intelligenza Artificiale, l’approccio Zero Trust, l’automation, l’uso della criptazione ecc..

Per IBM AI, criptazione e security analytics sono i 3 principali fattori di mitigazione delle violazioni nonché fondamentali per la riduzione dei costi per singolo attacco. Le aziende che si sono dotate di questi strumenti hanno risparmiato quasi 1.5 milioni di dollari a data breach rispetto alle aziende che non hanno adottato queste soluzioni.

01[3]

La datificazione della realtà: un viaggio virtuale in auto nella rete, ma siamo noi stessi la destinazione finale

lunedì 14 giugno 2021
Avv. Gianni Dell’Aiuto

Che cosa sarebbe il mondo digitale e come vivremmo questa rivoluzione, appunto digitale, senza dati? Domanda assolutamente improponibile, perché l’intero sistema è fatto sulla base di dati e sempre i dati sono indispensabili per far muovere la macchina: i dati che passano in rete ogni giorno sono la benzina del motore che, senza, sarebbe assolutamente un marchingegno inutile. Per meglio comprendere il nostro paragone automobilistico e fare alcune indispensabili precisazioni terminologiche su parole usate indiscriminatamente quali sinonimi l’una dell’altra, proviamo ad immaginare un viaggio in cui le macchine sono i nostri strumenti hardware: computer, cellulari, tablet. Queste macchine viaggiano idealmente in un enorme spazio virtuale che è il web: i siti sono punti che incontriamo nel nostro viaggio o possibili destinazioni come città, caselli autostradali ecc. Queste destinazioni sono collegate tra loro dalle strade secondo le regole di internet che possiamo, in questo, paragonare a una rete stradale. Il motore è rappresentato dal software di ogni singolo mezzo.

E la benzina? Non è l’energia con cui mandiamo avanti i dispositivi o carichiamo le batterie: sono i dati. Senza i dati immessi dagli utenti le macchine potrebbero al massimo dialogare una con l’altra o poco più e non riuscirebbero ad indicare agli internauti i percorsi che, si noti la bizzarria, iniziano sapendo con assoluta certezza la destinazione a cui vogliamo giungere e che noi indichiamo o come prodotto o come landing page.

Ed infatti, sia che si chieda un prodotto o un servizio da acquistare, sia che si voglia dialogare con qualcuno, il sistema sa già dove e come portarci a destinazione. Stiamo ovviamente parlando di piattaforme di ricerca. Ma per farlo il sistema ha bisogno di informazioni che può raccogliere solo dagli utenti che possono darle volontariamente o involontariamente se non addirittura contro la loro volontà come in caso di furti di dati: è il futuro che abbiamo voluto noi e dal quale non sembra certo possibile tornare indietro.

Prima online passavano solo messaggi diretti tra due utenti: potevamo già anche cercare qualsiasi cosa in rete, ma all’epoca dei siti statici, quelli del web 1.0 se si fosse cercato il signor Rossi avremmo corso il rischio di imbatterci in persone con i capelli rossi, tonalità di vernice e idee politiche. I sistemi di ricerca erano elementari e gli algoritmi non sviluppati quanto lo sono oggi.

Poi siamo passati al web dinamico o 2.0, quello in cui le macchine possono meglio dialogare tra loro tramite intermediari e gli utenti inserire contenuti in tempo reale ed interagire con il resto del mondo. Si passa dai siti personali statici ai blog e la comunicazione cambia completamente sull’intero pianeta. Adesso ben possiamo dire che siamo al web semantico, vale a dire un ambiente in cui documenti, pagine, immagini sono già associati ad informazioni e dati che ne specificano il contesto. L’ideale per la ricerca di chi vuole trovare il signor Mario Rossi che vive a Milano in Via Mondovì di professione meccanico e, con l’occasione, possiamo già avere abbinati, per facilitare la ricerca, anche i dati della famiglia e altro ancora.

Sarà possibile? Già avviene a noi stessi che, nel momento di una ricerca su un qualsiasi motore diventiamo, per uno strano meccanismo proprio noi, sedicenti ricercatori, il prodotto ricercato. Lo sappiamo bene. Se digitiamo il nome di un cantante, nei prossimi giorni saremo portati a conoscenza della sua discografia e delle tappe del prossimo tour; se compriamo un biglietto per Parigi ci indicheranno, in tempo reale, i ristoranti e gli hotel migliori e anche gli sconti per i musei.

Noi crediamo di essere i manovratori del veicolo, ma siamo i benzinai e fornitori del petrolio che il sistema provvede a raffinare in un processo di datificazione, che, per far funzionare al meglio l’intero sistema, deve ridurre tutte le informazioni che riceve a dati misurabili e valutabili economicamente: è un futuro ineluttabile. Ogni tipo di relazione e interazione online, a cominciare dai like sui social, è parte di questo futuro che già viviamo e sarà portato ancora più avanti con sistemi di data mining con macchine che dialogheranno tra loro utilizzando sempre meno il fattore umano e l’Intelligenza Artificiale.

E continueremo ad apportare carburante al sistema per diventare sempre più numeri.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy